Unified Communications Manager IM & 다시 생성Presence Service 셀프 서명 인증서
목차
소개
이 문서에서는 Unified Communications Manager IM & Presence Service 8.X 이상에서 인증서를 재생성하는 방법에 대해 권장되는 단계별 절차를 제공합니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
· IM/P(IM and Presence) 인증서
사용되는 구성 요소
· IM/P 릴리스 8.X 이상
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.
배경 정보
인증서 저장소 사용률
CUP(Cisco Unified Presence) 인증서
· SIP Federation, Lync/OCS/LCS용 Microsoft Remote Call Control, CUCM과 IM/P 간의 보안 연결에 사용됩니다.
CUP-XMPP(Cisco Unified Presence - Extensible Messaging and Presence Protocol) 인증서
· XMPP 세션이 생성될 때 XMPP 클라이언트에 대한 보안 연결을 검증하는 데 사용됩니다.
CUP-XMPP-S2S(Cisco Unified Presence - Extensible Messaging and Presence Protocol - Server to Server) 인증서
· 외부 페더레이션 XMPP 시스템과의 XMPP 도메인 간 페더레이션에 대한 보안 연결을 검증하는 데 사용됩니다.
IPSec(IP 보안) 인증서
· DRS(Disaster Recovery System)/DRF(Disaster Recovery Framework)에 대한 보안 연결을 검증하는 데 사용됩니다.
· 클러스터의 CUCM(Cisco Unified Communications Manager) 및 IM/P 노드에 대한 IPsec 터널의 보안 연결을 검증하는 데 사용됩니다.
Tomcat 인증서
· 클러스터의 다른 노드 및 Jabber 액세스의 서비스 페이지 액세스와 같은 다양한 웹 액세스를 검증하는 데 사용됩니다.
· SSO(SAML Single Sign-On)에 대한 보안 연결을 검증하는 데 사용됨
· 클러스터 간 피어에 대한 보안 연결을 검증하는 데 사용됨
인증서 재생성 프로세스
CUP 인증서
1단계. 클러스터의 각 서버에 대해 GUI를 엽니다.IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI(그래픽 사용자 인터페이스)를 차례로 열고 Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Certificate Management(인증서 관리)로 이동합니다.
2단계. 게시자 GUI로 시작하여 찾기를 선택하여 모든 인증서를 표시합니다.
· cup.pem 인증서를 선택합니다.
· 열려 있으면 재생성을 선택하고 팝업이 닫히기 전에 성공 이 표시될 때까지 기다립니다.
3단계. 후속 가입자를 계속 진행합니다.2단계의 동일한 절차를 따르고 클러스터의 모든 가입자에 대해 완료합니다.
4단계. 모든 노드에서 CUP 인증서를 다시 생성한 후에는 다음 순서로 서비스를 재시작해야 합니다.
· Publisher의 Cisco Unified Serviceability에 로그인
a.Cisco Unified Serviceability > Tools > Control Center - Feature Services
b.Cisco SIP Proxy 서비스를 다시 시작합니다.
c. 서비스 재시작이 완료되면 가입자를 계속 진행하고 Cisco SIP Proxy 서비스 다시 시작
d.Publisher부터 시작하여 가입자를 계속 진행하여 Cisco SIP Proxy 서비스 다시 시작(Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Feature Services(제어 센터 - 기능 서비스)에서)합니다.
· Publisher의 Cisco Unified Serviceability에 로그인
a.Cisco Unified Serviceability > Tools > Control Center - Feature Services
b.Cisco Presence Engine 서비스를 다시 시작합니다.
c. 서비스 재시작이 완료되면 가입자에서 Cisco Presence Engine 서비스 다시 시작을 계속합니다.
CUP-XMPP 인증서
1단계. 클러스터의 각 서버에 대해 GUI를 엽니다.IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS 관리 > 보안 > 인증서 관리로 이동합니다.
2단계. 게시자 GUI로 시작하여 찾기를 선택하여 모든 인증서를 표시합니다.
· cup-xmpp.pem Certificate의 Type 열에서 자체 서명인지 CA 서명인지 확인합니다.
· cup-xmpp.pem 인증서가 서드파티 서명(유형 CA 서명) 배포 다중 SAN인 경우, 멀티 SAN cup-xmpp CSR을 생성하고 CA 서명 cup-xmpp 인증서, CA 서명 다중 서버 주체 대체 이름 컨피그레이션을 위한 Unified Communication Cluster Setup에 대한 다음 링크를 검토합니다.
· cup-xmpp.pem 인증서가 서드파티 서명(유형 CA 서명) 배포 단일 노드(배포 이름은 인증서의 공용 이름과 동일)인 경우, 단일 노드 cup-xmpp CSR을 생성하고 CA 서명 cup-xmpp 인증서를 위해 CA에 제출하는 Jabber Complete How-To Guide for Certificate Validation(인증서 검증에 대한 Jabber Complete How-To) 링크를 검토합니다.
· cup-xmpp.pem 인증서가 자체 서명된 경우 3단계로 계속 진행합니다.
3단계. 모든 인증서를 표시하려면 찾기를 선택합니다.
· cup-xmpp.pem 인증서를 선택합니다.
· 일단 열었으면 Regenerate(재생성)를 선택하고 Success(성공)가 표시될 때까지 기다렸다가 팝업을 닫습니다..
4단계. 후속 가입자를 계속 진행합니다.2단계의 동일한 절차를 따르고 클러스터의 모든 가입자에 대해 완료합니다.
5단계. 모든 노드에서 CUP-XMPP 인증서가 재생성된 후 IM/P 노드에서 Cisco XCP 라우터 서비스를 다시 시작해야 합니다.
· Publisher의 Cisco Unified Serviceability에 로그인
a.Cisco Unified Serviceability > Tools > Control Center - Network Services
b.Cisco XCP 라우터 서비스를 다시 시작합니다.
c. 서비스 재시작이 완료되면 가입자에서 Cisco XCP 라우터 서비스 재시작을 계속합니다.
CUP-XMPP-S2S 인증서
1단계. 클러스터의 각 서버에 대해 GUI를 엽니다.IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS 관리 > 보안 > 인증서 관리로 이동합니다.
2단계. 게시자 GUI로 시작하여 찾기를 선택하여 모든 인증서를 표시합니다.
· cup-xmpp-s2s.pem 인증서를 선택합니다.
· 열려 있으면 재생성을 선택하고 팝업이 닫히기 전에 성공 이 표시될 때까지 기다립니다.
3단계. 후속 가입자를 계속 진행합니다.2단계의 동일한 절차를 따르고 클러스터의 모든 가입자에 대해 완료합니다.
4단계. 모든 노드에서 CUP-XMPP-S2S 인증서가 재생성된 후 다음 순서로 서비스를 재시작해야 합니다.
· Publisher의 Cisco Unified Serviceability에 로그인
a.Cisco Unified Serviceability > Tools > Control Center - Network Services
b.Cisco XCP 라우터 서비스를 다시 시작합니다.
c. 서비스 재시작이 완료되면 가입자에서 Cisco XCP 라우터 서비스 다시 시작을 계속합니다.
· Publisher의 Cisco Unified Serviceability에 로그인
a.Cisco Unified Serviceability > Tools > Control Center - Feature Services
b.Cisco XCP XMPP Federation Connection Manager 서비스를 다시 시작합니다.
c. 서비스 재시작이 완료되면 가입자에서 Cisco XCP XMPP Federation Connection Manager 서비스 재시작을 계속합니다.
IPSEC 인증서
1단계. 클러스터의 각 서버에 대해 GUI를 엽니다.IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS 관리 > 보안 > 인증서 관리로 이동합니다.
2단계. 게시자 GUI로 시작하여 찾기를 선택하여 모든 인증서를 표시합니다.
· ipsec.pem 인증서를 선택합니다.
· 열려 있으면 재생성을 선택하고 팝업이 닫히기 전에 성공 이 표시될 때까지 기다립니다.
3단계. 후속 가입자를 계속 진행합니다.2단계의 동일한 절차를 따르고 클러스터의 모든 가입자에 대해 완료합니다.
4단계. 모든 노드가 IPSEC 인증서를 재생성한 후 다음 서비스를 재시작합니다.
· 게시자의 Cisco Unified Serviceability Cisco Unified Serviceability > Tools > Control Center - Network Services로 이동합니다.
a.Cisco DRF Master Service에서 Restart를 선택합니다.
b.서비스 재시작이 완료되면 게시자에서 Cisco DRF Local service Restart of Cisco DRF Local service를 선택한 다음 각 가입자에서 Cisco DRF Local Service 재시작을 계속합니다.
TOMCAT 인증서
1단계. 클러스터의 각 서버에 대해 GUI를 엽니다.IM/P 게시자로 시작한 다음 각 IM/P 가입자 서버에 대한 GUI를 차례로 열고 Cisco Unified OS 관리 > 보안 > 인증서 관리로 이동합니다.
2단계. 게시자 GUI로 시작하여 찾기를 선택하여 모든 인증서를 표시합니다.
· tomcat.pem Certificate의 Type 열에서 자체 서명인지 CA 서명인지 확인합니다.
· tomcat.pem 인증서가 서드파티 서명(유형 CA 서명) 배포 다중 SAN인 경우, CA 서명 tomcat 인증서를 위해 다중 SAN tomcat CSR을 생성하고 CA에 제출하는 방법, CA 서명 다중 서버 주체 대체 이름 구성 예
참고:다중 SAN tomcat CSR은 CUCM Publisher에서 생성되고 클러스터의 모든 CUCM 및 IM/P 노드에 배포됩니다.
· tomcat.pem 인증서가 서드파티 서명(유형 CA 서명) 배포 단일 노드(배포 이름은 인증서의 일반 이름과 같음)인 경우, 단일 노드 cup-xmpp CSR을 생성하고 CA 서명 cup-xmpp 인증서를 위해 CA에 제출할 때 다음 링크를 검토합니다. 인증서 유효성 검사 방법은 Jabber Complete How-To Guide for Certificate Validation
· tomcat.pem Certificate(tomcat.pem 인증서)가 Self-signed(자체 서명)인 경우 3단계로 진행합니다.
3단계. 모든 인증서를 표시하려면 찾기를 선택합니다.
· tomcat.pem 인증서 선택
· Select Regenerate(재생성 선택)를 열고 팝업 창이 닫히기 전에 Success(성공) 팝업이 표시될 때까지 기다립니다.
4단계. 각 후속 가입자를 계속 진행하고 2단계에서 동일한 절차를 따라 클러스터의 모든 가입자에 대해 완료합니다.
4단계. 모든 노드가 Tomcat 인증서를 재생성한 후 모든 노드에서 Tomcat 서비스를 재시작합니다.게시자와 다음으로 시작합니다.
· Tomcat 서비스를 다시 시작하려면 각 노드에 대해 CLI 세션을 열고 이미지에 표시된 대로 utils service restart Cisco Tomcat 명령을 실행해야 합니다.
만료된 트러스트 인증서 삭제
1단계. Cisco Unified Serviceability > Tools > Control Center - Network Services로 이동합니다.
· 드롭다운 메뉴에서 IM/P 게시자를 선택하고 Cisco Certificate Expiry Monitor 중지를 선택한 다음 Cisco Intercluster Sync Agent 중지를 선택합니다.
· 클러스터의 각 IM/P 노드에 대해 이러한 서비스 중지 반복
참고:Tomcat-trust 인증서를 삭제하려면 CUCM Publisher의 Cisco Unified Serviceability > Tools > Control Center - Network Services로 이동합니다.
· 드롭다운에서 CUCM Publisher를 선택합니다.
· Cisco Certificate Expiry Monitor의 중지를 선택하고 Cisco Certificate Change Notification 중지를 선택합니다.
· 클러스터의 모든 CUCM 노드에 대해 반복
2단계. Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Certificate Management(인증서 관리) > Find(찾기)로 이동합니다.
· 만료된 트러스트 인증서를 찾습니다.(버전 10.X 이상의 경우 Expiration(만료)을 기준으로 필터링할 수 있습니다.10.0 이하 버전에서 특정 인증서를 수동으로 또는 수신한 경우 RTMT 알림을 통해 식별해야 합니다.
· 동일한 신뢰 인증서가 여러 노드에 나타날 수 있습니다.각 노드에서 개별적으로 삭제해야 합니다.
· 삭제할 신뢰 인증서를 선택합니다(팝업을 받거나 동일한 페이지에서 인증서를 탐색하게 될 버전에 따라 다름).
· 삭제를 선택합니다. 이 인증서를 영구적으로 삭제하려는 팝업이 표시됩니다.
· 확인 선택
3단계. 삭제할 모든 신뢰 인증서에 대해 프로세스를 반복합니다.
4단계. 완료되면 삭제된 인증서와 직접 관련된 서비스를 다시 시작해야 합니다.
· CUP 신뢰:Cisco SIP Proxy, Cisco Presence Engine 및 SIP Federation에 대해 구성된 경우 Cisco XCP SIP Federation Connection Manager(CUP 인증서 섹션 참조)
· CUP-XMPP-트러스트:Cisco XCP 라우터(CUP-XMPP 인증서 섹션 참조)
· CUP-XMPP-S2S-trust:Cisco XCP Router 및 Cisco XCP XMPP Federation Connection Manager
· IPSEC 신뢰:DRF 마스터/DRF 로컬(IPSEC 인증서 섹션 참조)
· Tomcat-trust:명령줄을 통해 Tomcat 서비스 다시 시작(Tomcat 인증서 섹션 참조)
5단계. 1단계에서 이전에 중지한 서비스를 다시 시작합니다.
다음을 확인합니다.
현재 이 구성에 대해 사용 가능한 확인 절차가 없습니다.
문제 해결
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.
피드백